你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Azure VMware 解决方案的企业级标识和访问管理
本文是根据标识和访问管理以及 Azure VMware 解决方案标识概念中的信息撰写的。
可使用这些信息来检查有关特定于 Azure VMware 解决方案部署的标识和访问管理的设计注意事项和建议。
Azure VMware 解决方案的标识要求因 Azure 中的实现而异。 本文中提供的信息是基于最常见的方案。
设计注意事项
部署 Azure VMware 解决方案后,新环境的 vCenter 包含名为 cloudadmin 的内置本地用户。 此用户被分配到在 vCenter Server 中具有多个权限的 CloudAdmin 角色。 还可以在Azure VMware 解决方案环境中使用最小特权原则和基于角色的访问控制 (RBAC) 创建自定义角色。
设计建议
作为标识和访问管理企业级登陆区域的一部分,将 Active Directory 域服务 (AD DS) 域控制器部署在标识订阅中。
限制分配 CloudAdmin 角色的用户数。 使用自定义角色和最小特权向 Azure VMware 解决方案分配用户。
将 Azure 中 Azure VMware 解决方案基于角色的访问控制 (RBAC) 权限限制为部署它的资源组和需要管理 Azure VMware 解决方案的用户。
仅根据需要在层次结构级别配置具有自定义角色的 vSphere 权限。 最好在相应的 VM 文件夹或资源池应用权限。 避免在数据中心级别或更高级别应用 vSphere 权限。
更新 Active Directory 站点和服务,将 Azure VMware 解决方案 AD DS 流量定向到相应的域控制器。
在私有云中使用运行命令:
添加 AD DS 域控制器作为 vCenter Server 和 NSX-T 数据中心的标识源。
对
vsphere.local\CloudAdmins组提供生命周期操作。
在 Active Directory 中创建组,并使用 RBAC 管理 vCenter Server 和 NSX-T 数据中心。 可以创建自定义角色并将 Active Directory 组分配给自定义角色。
后续步骤
了解 Azure VMware 解决方案企业级场景的网络拓扑和连接。 查看有关 Microsoft Azure 和 Azure VMware 解决方案的网络和连接性的设计注意事项和最佳做法。